CVE-2026-9658
HighCVSS 7.3Summary
Wersje Plack::Middleware::Security::Common przed 0.13.1 dla Perla nie blokowały wstrzyknięć nagłówków w ścieżkach żądań. Reguła blokująca wstrzyknięcia nagłówków była nieskuteczna, chyba że były one podwójnie kodowane.
Risk Assessment
Organizacje mogą być narażone na ataki związane z wstrzyknięciami nagłówków, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi. Istnieje niepewność co do tego, jak takie żądania będą przetwarzane przez serwery oparte na Plack oraz przez odwrotne proxy.
Recommendation
Zaleca się aktualizację Plack::Middleware::Security::Common do wersji 0.13.1 lub nowszej, aby zabezpieczyć się przed wstrzyknięciami nagłówków. Dodatkowo, warto przeprowadzić audyt konfiguracji odwrotnych proxy w celu zapewnienia odpowiedniej ochrony.
Original NVD description (English source)
Plack::Middleware::Security::Common versions before 0.13.1 for Perl did not block header injections in request paths. The header injection rule was ineffective at blocking header injections in the request paths unless they were double-encoded, for example, GET /path\r\nHTTP/1.1\r\nHost: secret.example.com Note that it is unclear whether request paths with CRLF followed by additional headers would be blocked by reverse proxies, or how they would be processed by Plack-based servers.

